New York – Esiste già una variante in circolazione del famigerato malware Lojax (alias Double-Agent), così ribattezzato dopo aver assunto in un primo momento il nome degli hacker russi produttori Strontium ovvero APT28 (alias Sednit, Fancy Bear, Pawn Storm, Sofacy).
Lo hanno scoperto gli esperti di cyber security di Cybaze ZLab – Yoroi e pare venga usato per colpire soprattutto amministrazioni e organizzazioni governative nei Balcani, nell’Europa centrale e orientale, impiegandone diverse componenti. Secondo l’analisi condotta da Security Affairs, il comportamento della nuova variante sembra essere simile alle versioni precedenti e sfrutta il software legittimo “Absolute Lojack” per garantire la sua persistenza sul sistema infetto.
Lojack è un software anti-furto e localizzazione, sviluppato da Absolute Software Corporation ed è preinstallato nell’immagine BIOS di diverse macchine Lenovo, HP, Dell, Fujitsu, Panasonic, Toshiba e Asus. In passato, il software era noto come “Computrace” e, nonostante i suoi scopi legittimi, il software Absolute Lojack agisce come un rootkit (più precisamente come un bootkit): la sua componente Bios costringe la scrittura di un piccolo agente chiamato “rpcnetp.exe” nella cartella di sistema. Questo contatta periodicamente il server Absolute e invia a esso la posizione corrente della macchina. Quando il malware di APT28 si installa, si copia in una nuova DLL: il file finale è lo stesso di quello iniziale, ad eccezione di alcuni flag di intestazione. Dopo ciò, il codice malevolo cerca alcuni componenti appartenenti al software legittimo, che dovrebbero essere già installati nella macchina, con i quali tenta di stabilire una connessione tramite il canale RPC. Se i componenti Absolute Lojack non vengono trovati, il malware si autodistrugge.